TCP UDP IP 在达到阈值之前，分类 DoS 保护滴 / / 洪水包

假设 DP 管理员 firewall 设置洪水激活速率时没有数据平面（）， PAN-OS 则将此速率的 1/n 分配给每个数据平面。

如果底盘是一个 PA-7000 系列，则规则 1/n 取决于 policy 如图所示的会话分布：

• 已修复（固定在单个数据平面上）：n=1
• 入口插槽 N ：=d（每个插槽的DPs数量）
• 随机 N ：=s*d（"s"是在线/可用的数字插槽，"d"是每个插槽的DPs数量）

具有多个数据飞机的所有其他防火墙将均匀地将负载分布到所有可用的数据平面上。

当洪水均匀地分配给所有数据飞机时，这个方案效果很好。 否则，当 RED 洪水速率远低于其他 DP 的 1/n 阈值时，随机早期下降 （） 可能会在一架数据飞机上启动， RED 从而过早触发。

我们如何检查每个数据飞机的分布情况？

admin@PA > show dos-protection rule <rulename> settings

示例：

配置速率：

报警速率：10000 cps，激活速率：25000 cps，最大速率：60000 cps

固定：

admin@PA > set session distribution-policy fixed s1dp0
admin@PA > show dos-protection rule DoS_1 settings

DP s1dp0:

DP alarm rate: 10000 cps, activate rate: 25000 cps, maximal rate: 60000 cps

入口插槽：

admin@PA > set session distribution-policy ingress-slot
admin@PA > show dos-protection rule DoS_1 settings

DP alarm rate: 5001 cps, activate rate: 12501 cps, maximal rate: 30001 cps <<< gets dived to two.

随机：

admin@PA > set session distribution-policy random
admin@PA > show dos-protection rule DoS_1 settings

DP alarm rate: 2501 cps, activate rate: 6251 cps, maximal rate: 15001 cps << I have 2 slots, hence 4 DP's

NOTE:

还有其他因素可能会影响此测试。 例如，iperf/测试工具（在实验室测试 DoS 配置文件时）可能会给生成的流量带来抖动和爆裂。

内部网络和内部分布式系统 firewall 也可能增加流量的抖动。

RED当洪水速率接近阈值时，抖动/爆裂可能会触发。 DoS 保护在一秒钟内查看洪水率而不是数据包计数器。